2019-08-30

从646万企业的大湾区看一带一路的网络安全合规

「中企通信」是「中信国际电讯CPC」的子公司，属于中国中信集团旗下，致力于提供跨国 ICT（信息通信技术）服务的解决方案提供商。

作为以「全球一站式交付能力」为核心价值的跨国 ICT 服务商，帮助企业快速满足全球各国家和地区的合规性要求，是中企通信的挑战，也是优势、积累所在。其中，安全的合规性满足，是重中之重。

合规难点还体现在不同地区的复杂性上。最新的粤港澳「大湾区」是支撑「一带一路」，「迎进来走出去」政策的典型代表。随着 2018 年 6 月广州科学城云数据中心的正式启用，中企通信助力粤港澳「大湾区」的基础设施建设可以说几乎全部完成。横跨三个关税区的复杂政策，不仅要求对不同行业的国内外企业客户有一致的服务能力，还要满足大湾区复杂的安全合规要求。

7 月末，中企通信 2019 年「解决方案日」活动在京举行。安全牛在会后，就合规能力和大湾区的案例，采访了中企通信四位高管。

一、服务大湾区的三大优势以及合规复杂性挑战

大湾区在 IT 和网络安全方面的需求

大湾区是支撑中国「一带一路」的一个战略要地。从一组数据看，2017 年 10 月，大湾区的企业总量就已经超过 645.6 万，占到当时全国企业总数的 10%。这之中，就有超过 20% 的外资企业。可以说，不论是国内还是国外，企业对政策都是非常热情的。此外，大湾区企业的构成，也是非常多元且国际化的。不只是民营和外企，很多国企和央企也在积极响应政策号召。

形成这样的一个局面，中企通信的南中国区销售总经理郭远达认为三个关税区是非常重要的一个点。这种地区的特殊性，成就了大湾区的战略意义。今年印发的《纲要》中也明确提及，在「一国两制」下，粤港澳的社会制度不同，法律制度不同，分属于不同关税区域。当然也存在挑战。市场互联互通水平有待进一步提升，生产要素高效便捷流动的良好局面尚未形成，这些既是挑战，也是发展的机遇。特别是在「优化提升信息基础设施」、「扩大对外开放」、「加快发展先进制造业」和「培育壮大战略性新兴产业」等方面，对中企通信而言，这是我們非常擅长的。

他指去年 8 月，我们在广州第二个云数据中心也正式启用。北京、上海、广州、香港四地，都已经支持同城异地灾备，这是第一点，彰显我们在信息基础设施上的优势。此外，我们的母公司中信国际电讯 CPC 在香港，集团旗下澳门电讯在澳门，而中企通信总部位于北京，可以说三地的法规、客户运营需求、以及数据安全性，都有很深厚的积累。这也是第二点，印证我们的地方优势和当地知识与资源。

他續說，第三个重要优势，中企通信本身是一家服务于全球的公司。我们牵手合作伙伴，在全球 130 个国家提供网络等 ICT 服务，拥有 30 个数据中心和 18 个云平台，在亚太、北美、欧洲、中东和中亚都有安全服务覆盖。所以，无论是国内的企业要「走出去」，还是国外的企业「迎进来」，我们都有能力和丰富的经验，甚至包括服务人员可以支持多国家和地区的语言、熟知当地的文化，在这些细节上，都能够应对全球化的需求。

网络安全的合规

中企通信首席信息及创新总裁邝伟基表示中企通信最早在 2007 年就开始提供信息安全服务。我们大量的合规性工作，网络安全相关的，是基于 ISO 标准体系的认证。包括 ISO270001 信息安全管理体系、ISO27017 云计算服务信息安全管理体系。其他方面的合规，还有 TL9000 通讯行业质量管理体系、ISO20000 IT 服务管理体系、以及国家工信部牵头的可信云认证等。可以说，在合规方面，中企通信自身就做了大量的工作。这也是我们重要的知识及经验积累。

除了澳门电讯外，邝伟基亦提及中信国际电讯 CPC 还在 2017 年 10 月完成了对荷兰 Linx 电信业务的收购，此次收购还包括一条波罗的海地区海底光缆系统。所以，在欧洲 12 个国家，都有我们的员工。欧洲目前最引人注目的安全合规，应该就是已经实施的通用数据保护条例 (GDPR) 了。我们本身的 ICT 业务也要做 GDPR 的合规。即使是在中国中信集团内部，都是一个非常大量的工作。而且，从内审的结果来看，GDPR 合规我们也能做好并完全符合严格的要求，真的也是经过重重磨炼才有此成绩。

当然，对于中国大陆，他認為更多的还是《网络安全法》，已经发布今年 12 月正式实施的 “网络安全等级保护2.0”，这也是我们的客户非常关心的内容。对比来看，欧洲企业在 GDPR 的合规流程上已经开始趋于熟悉。因为这个法律已经开始生效有一段时间了。但是，中国的《网络安全法》从内容上看，给我们的感觉更像是一个方向性，可操作性要比 GDPR 强。国外法律，特别重视看实际的判例。这些目前从《网络安全法》我们还没有看到。

还有就是等保 2.0。他提到因为我们大量的国内客户是「走出去」，是要符合国外目标市场对应的安全合规要求。所以，我们的外资企业客户，尤其是合规意识较强的，特别重视等保。等保 2.0 国内是由公安部主导的，有《网络安全法》保障的，在国外几乎没有类似的情况。因为还没有正式实施，判例肯定要更久后，所以内容上我们也在研习。整体感觉和之前的等保主要是内容、对象上有很大差别，增加了一些新的课题，但流程上比较一致。而且，仅就内容而言，我们感觉这些变化都是非常好的。我们建议客户，从满足 ISO27001 的基础上，进行针对性的能力补充。明年，等保 2.0 正式实施后，案例也会更丰富，相信之后的工作才真正开始。

全球合规性挑战

邝伟基認為全球的合规性，是我们，包括客户都必须正视、面对的一个课题。无论是等保 2.0，个人隐私信息，还是网络安全或者其它行业，企业都要站在业务的角度，要能够很好的理解当地的合规性要求。刚开拓的海外市场，对于企业而言，仅依靠自身的力量是很难做到的。这也是我们的价值，即在帮助企业节省成本、提高效率的同时，完成任何国家和地区的合规要求。这不仅是技术性的问题，还是个人才的问题，经验的问题，国际化的问题，以及对接、沟通的问题。

而他提到这个过程，我们已经淌过来了，中企通信自身就是「小白鼠」。现在，我们希望，不管你是要走出去，还是走进来，我们都可以站在业务层面帮助全球的客户解决合规性的问题。

二、托管式的安全服务

安全服务

中企通信数据科学及创新副总监詹东东表示中企通信主要是整合我们安全伙伴的力量，为客户提供托管式的安全服务。在香港和广州的两个安全运营中心是一个重要的载体，提供 7*24 小时的持续性防护。

他續說，选择基于安全运营中心提供服务的方式，主要有三个考量。首先，基于 SOC，而不是单点产品的布防，可以帮助客户在考虑成本和效益的前提下，阶段性的进行安全能力建设。这是根据客户业务发展阶段的，所以也是一个持续的过程。其次，是提供纵深防御式的安全能力。这包括从最基础的防火墙、反病毒、主机入侵防护、漏洞管理，到常态化安全信息收集、安全策略和事件管理，到更上层的风险评估、目标制定，提供数据层面整体的安全运营能力。其三，针对快速变化的威胁态势，包括很多基于自动化工具、利用 AI 进行关键资产发现的网络攻击，需要更快速的响应能力。我们认为这是一种 “反脆弱性” 能力的建设。我们可能有部分客户，会在第一轮攻击中中招，但是可以快速修复，并通过分析攻击路径，给到全球所有客户优化、改善目前安全状况的最佳建议。

他認為安全对抗的本质，是人与人，资源与资源的对抗，而且是不对称的。所以，安全运营中心的背后，提供支撑的是我们的合作伙伴提供的生态能力，还有通过大量持有诸如 CISSP、Security+、CISA 等国际安全认证的专家服务能力。这是非常关键的。

合作伙伴

中企通信产品部副总裁蓝泰来合作伙伴是指我们的技术供应商伙伴，为我们的产品提供最新技术支持，共同为市场推出先进的解决方案，如 Fortinet 就是我们其中一个非常重要的合作伙伴。双方从 2010 年开始就有大量的合作，包括 NGFW、WAF、沙箱，以及他们最近集成安全防护能力的 SD-WAN 方案，都有合作。

我们不仅一起把安全能力带给客户，中企通信也是这些合作伙伴的重要客户。目前在全球，我们有超过 1500 个安全设备在部署，这些安全设备提供给我们的全球视野，可以让我们站在一个更高的维度，服务客户。

搭建安全运营中心的原因

中企通信产品部副总裁蓝泰来指因为我们看到了太多客户用不起来的情况。经常是客户自己的工程师花费大量时间，设置了大量安全策略，结果最后因为种种原因，基本等于全部废置。这些安全设备，很多能力都很强，但是直接放到客户手里是低效率的。由我们的团队来使用、运维和管理这些专业安全设备，并借此提供安全服务，对于客户而言，无疑将获得更大价值。

SD-WAN 方案

中企通信产品部副总裁蓝泰来表示SD-WAN 方案在业界是比较受到认可的。以其中一家合作伙伴 Fortinet 来看，据我了解，流量的应用识别是 SD-WAN 和安全共通的重要底层能力。再加上 SD-WAN 专用的识别和控制芯片，整体方案的能力还是很强的。而中企通信作为 ICT 服务商，在链路资源、网络质量、以及全球的服务能力，都具有很大优势。SD-WAN 毕竟是个网络而不是安全的解决方案，再加上之前多年的合作经历，这也是双方能在这个较新的数通方案上达成合作的重要契合点。

产品与服务

TrueCONNECT™ 网络连接

信息安全管理

识别及预测 评估服务 资产梳理服务 漏洞评估服务 渗透测试服务 代码审查服务 AI信息安全威胁识别平台

侦测 威胁检测服务 托管式安全服务 (MSS) 端点侦测及回应 (EDR) 流量监控及分析 用户和企业行为分析 (UEBA) 网络流量分析

专业服务及合规 专业服务 信息安全设备迁移服务 云专业服务 合规服务 中国网络安全法–网络安全等级保护2.0合规咨询服务 跨境数据合规评估服务

保护 网络安全设备托管服务 统一威胁管理 (UTM) 托管式新世代防火墙 (NGFW) 托管式网站应用程式防火墙 (WAF) 网络安全 安全存取服务边缘 (SASE) 邮件安全 邮件防护服务

回应及复原 安全回应服务 安全编排及自动化回应 (SOAR) 威胁搜捕服务 安全事件回应 (IR) 备份及灾难复原即服务 多功能托管云备份及灾难复原解决方案 (BRR)

SmartCLOUD™ 云端运算方案

DataHOUSE™ 云数据中心

互联网服务

管理服务

欧洲解决方案

Europe to Asia / Asia to Europe Europe & Asia West-East Global Cloud Ring

Baltic Sea DIA PROTECT Internet Based Connectivity Solution 互联网商业方案 (On-Net Tallinn) Estonia Data Center Solution 波罗的海海底光缆 Estonia Cloud Solution

解决方案

解决方案

技术与服务

技术与服务

关于我们

关于我们

资源中心

资源中心

联系我们

联系我们

从646万企业的大湾区 看一带一路的网络安全合规

识别及预测
评估服务资产梳理服务漏洞评估服务渗透测试服务代码审查服务 AI信息安全威胁识别平台

侦测
威胁检测服务托管式安全服务 (MSS) 端点侦测及回应 (EDR) 流量监控及分析用户和企业行为分析 (UEBA) 网络流量分析

专业服务及合规
专业服务信息安全设备迁移服务云专业服务合规服务中国网络安全法–网络安全等级保护2.0合规咨询服务跨境数据合规评估服务

保护
网络安全设备托管服务统一威胁管理 (UTM) 托管式新世代防火墙 (NGFW) 托管式网站应用程式防火墙 (WAF) 网络安全安全存取服务边缘 (SASE) 邮件安全邮件防护服务

回应及复原
安全回应服务安全编排及自动化回应 (SOAR) 威胁搜捕服务安全事件回应 (IR) 备份及灾难复原即服务多功能托管云备份及灾难复原解决方案 (BRR)

Europe to Asia / Asia to Europe
Europe & Asia West-East Global Cloud Ring

Baltic Sea
DIA PROTECT Internet Based Connectivity Solution 互联网商业方案 (On-Net Tallinn) Estonia Data Center Solution 波罗的海海底光缆 Estonia Cloud Solution

从646万企业的大湾区看一带一路的网络安全合规